BattleRoyal olarak da bilinen DarkGate Kötü Amaçlı Yazılımı, silahlı sahte tarayıcı güncellemeleri ve e-postalar yoluyla yayılıyor. Kurulduktan sonra, daha fazla kötü amaçlı yazılımın indirilmesine ve çalıştırılmasına izin verir.
Proofpoint’e göre, ek kötü amaçlı yazılımları doğrudan hem 32 hem de 64 bit sistemlerin belleğine indirmek için tasarlanmış yeni bir kötü amaçlı yazılım keşfedildi. Kötü amaçlı yazılım Delphi kullanılarak oluşturulmuştur ve benzersiz özelliği, dosya sisteminde bulunmaması ve tespit edilmesinin zor olmasıdır.
Raporda DarkGate kötü amaçlı yazılımını kullanan toplam 20 e-posta kampanyasının tespit edildiği belirtiliyor. Bu kampanyalar “PLEX”, “ADS5”, “user_871236672” ve “usr_871663321” gibi Grup Kimlikleri ile ayırt edildi.
GroupID, kullanıcı adı, botnet, kampanya veya işaret 23 olarak da bilinen, projenizi tüm projelerde benzersiz şekilde tanımlayan bir yapılandırma parametresidir.
- Teslimat
- Hacimler ve coğrafya
- Saldırı zinciri
Örneğin, RogueRaticate sahte güncelleme etkinliği kümesi, ilk olarak 2020’de keşfedilen zorlu bir gizleme yöntemini kullanıyor.
Son kullanıcıların web tarayıcılarına, sahte tarayıcı güncelleme istekleri yoluyla DarkGate verisi bulaştı. Tehdit aktörü, kontrolü altındaki bir alana bir istek ekleyerek kötü amaçlı kodu “ADS5” Grup Kimliğiyle steganografi kullanarak gizledi.
Tespiti önlemek için, hassas bilgiler normal, gizli olmayan bir dosya veya mesaj içerisinde steganografi kullanılarak gizlenebilir. Hedefine vardığında, hassas veriler daha sonra normal dosyadan veya iletişimden kaldırılacak ve keşfedilmesi önlenecektir.
Bu arada stenograf, istenmeyen trafiği filtrelemek için aktörün sahip olduğu Keitaro alan adına bir istek gönderecektir.
Sahte tarayıcı güncellemesi, trafik denetimini atlayan ve güncelleme düğmesini tıklatarak tarayıcılarına kötü amaçlı yazılım yükleyen kullanıcılar için tasarlanmıştır.